Vibe Coding 安全防御實錄

給自己做了次安全審計，發現項目裡 10+ 個腳本硬編碼了錢包私鑰——差點把資金暴露在 GitHub 上。

起因是 @evilcos 預警的 IDE 漏洞，加上之前分享 Polymarket 數據抓取時 X 友們的提醒。

🚨 最危險的場景

GitHub clone 一個項目，用 Cursor 打開——私鑰就沒了。

項目裡藏個配置文件，IDE 打開時自動執行命令，你根本不知道。Cursor 官方說這個安全機制"太複雜"所以默認關了。

解決：Settings → 搜索 workspace trust → 打開

🛡️ 我的防護體系（圖1）

關鍵是讓防護自動化：
• IDE 惡意項目 → 自動彈窗確認
• AI 讀私鑰 → 自動攔截
• 代碼改 main → 自動攔截

手動的靠不住，自動的才兜底。

📋 克隆外部項目 SOP（圖2）

5 步檢查流程，養成習慣就不怕了。

你們 clone 外部項目前會檢查什麼？

cc @evilcos @SlowMist_Team 🙏